Wordpress

Bild: © pixelcreatures / Pixabay (modifiziert)

WordPress Plugins für Sicherheit und Datenschutz

Lesezeit etwa 7 Minuten

WordPress hat sich in den vergangenen Jahren zu einem mächtigen Content Management System (CMS) entwickelt, dass über die Phase der reinen Blog-Software längst hinausgewachsen ist. Klassische, statische Webseiten lassen sich damit ebenso leicht und unkompliziert realisieren wie Onlineshops. Der Umstieg vom CMS Schwergewicht TYPO3 hin zu WordPress ist mir persönlich leicht gefallen und wird von mir in keiner Sekunde bereut.

In diesem ersten Beitrag einer kleinen Serie möchte ich einige Plugins vorstellen, die aus meiner Sicht besonders empfehlenswert sind. Im ersten Schritt betrachte ich Plugins, die sich mit dem Thema WordPress Sicherheit und Datenschutz befassen.

Wie bei vielen CMS Lösungen wird die wahre Stärke erst durch den Einsatz von sogenannten Plugins (Erweiterungen) erreicht. Waren diese Plugins im TYPO33 Umfeld zwar durch die Bank kostenfrei, dafür aber nur leidlich stabil und gepflegt, geschweige denn einfach zu installieren und integrieren, taucht man bei WordPress in eine gänzlich andere Welt ein. Unzählige Plugins werden auch hier kostenfrei angeboten, oftmals dann aber nur als eine Light Version einer umfangreicheren, dann aber kostenpflichtigen Lösung. Doch sowohl die freien, also auch die kostenpflichtigen Plugins überraschen durch einfache Integration, überzeugende Funktionalität und regelmäßige Aktualisierung durch den, bzw. die Entwickler.

In den kommenden Wochen werde ich zu verschiedenen Themen eine Auswahl an aus meiner Sicht besonders guten Plugins vorstellen. Den Anfang macht dabei ein besonders wichtiges Thema:

Sicherheit und Datenschutz

Wer sich im Internet bewegt, ist in heutigen Zeiten angeraten auf ein Mindestmaß an Sicherheit zu achten, bzw. hat auch den Anspruch, dass seine Daten mit einem entsprechenden Maß an Sicherheit behandelt werden. Was aktueller Stand der Technik hinsichtlich Sicherheit und Datenschutz ist, ändert sich rapide und wer Webseiten im Internet anbietet, muss auch noch gesetzlichen Anforderungen genügen. Dies ist auch besonders bei der Wahl der eingesetzten Plugins zu beachten, denn so mach ein Tool sendet im Hintergrund Nutzerdaten auf Server in Drittländer und verstößt damit gegen geltendes Recht in Deutschland oder der EU. Dabei ist dies nicht auf eine Böswilligkeit der Entwickler zurückzuführen, sondern lediglich der Tatsache geschuldet, dass im Heimatland des ein oder anderen Programmierers deutlich schwächere Datenschutzbestimmungen existieren.

Bei allen der im Folgenden vorgestellten Plugins werden teilweise massive Eingriffe in die WordPress Installation, bzw. Konfiguration vorgenommen. Eine Datensicherung im Vorfeld sowie die Möglichkeit über einen zweiten Weg Konfigurationsdateien bearbeiten zu können (FTP, SSH, etc.) ist bei der Installation dringend angeraten.

SSL Verschlüsselung (Easy HTTPS (SSL) Redirection)

Das kostenfreie Plugin Easy HTTPS (SSL) Redirection von Tips and Tricks HQ ermöglicht nach der Installation eines SSL Zertifikats auf dem Webserver die Auslieferung einzelner oder aller Seiten über das verschlüsselte HTTPS Protokoll. Heute sollten grundsätzlich ALLE Webseiten SSL verschlüsselt übertragen werden, mindestens jedoch alle Seiten, die mit Logins, personenbezogenen Daten oder Finanztransaktionen zu tun haben. Faktisch übernimmt der Webserver diese Aufgabe, doch nur dann, wenn er entsprechend konfiguriert wurde und das CMS darauf angepasst wurde. Das Plugin übernimmt hier eine Reihe von Konfigurationen für den Administrator einer WordPress Seite, indem es die .htaccess den Anforderungen entsprechend anpasst. (Wer seine .htaccess Datei selber konfigurieren kann und will, benötigt das Plugin an und für sich nicht.)

Sollte nach der Installation und Konfiguration die Seite nicht mehr funktionieren, muss man lediglich in der .htaccess Datei auf dem Webserver alle durch das Plugin eingefügten Zeilen zwischen

# BEGIN HTTPS Redirection Plugin
# END HTTPS Redirection Plugin

entfernen.

  • Voraussetzungen: SSL Zertifikat
  • Sprache: Englisch, Deutsch möglich
  • Preis: kostenfrei

Sicherheitseinstellungen (iThemes Security)

Ein wahres Sammelsurium an sicherheitsrelevanten Einstellungen und Überprüfungen bringt das Plugin iThemes Security (Plugin Homepage) von iThemes mit. Eine nicht geringe Anzahl an Anpassungen, die man an der WordPress Installation durch dieses Plugin vornehmen lassen kann, sollten meines Erachtens bereits im WordPress Kern berücksichtigt sein. Nach der Installation führt ein Wizzard den Administrator Schritt für Schritt durch die einzelnen Aspekte und klassifiziert jedes potenzielle Risiko in eine von drei Schweregraden ein.

Einige Risiken werden allerdings als kritisch eingestuft, um hier weitere, kostenpflichtige Plugins (z.B. zur Datensicherung) aus der eigenen Schmiede zu verkaufen. Verwendet man ein anderes Plugin oder eine andere Lösung um das Risiko zu beseitigen, wird dies natürlich nicht erkannt und damit als weiterhin bestehendes Risiko eingestuft.

Bei der Auswahl der zu aktivierenden Einstellungen sollte allerdings mit einem gewissen Sachverstand vorgegangen werden, da ansonsten schnell die Funktionalität der Webseite gestört oder gar gänzlich nicht mehr gegeben ist. Das Plugin ist selber sehr funktional implementiert, jedoch vollständig in englischer Sprache. Es lohnt sich übrigens das mitgelieferte Dashboard regelmäßig einzusehen, da verschiedene Sicherheitseinstellungen regelmäßig aktualisiert werden sollten.

Nach der Installation und Aktivierung von iThemes Security, bzw. bei jeder Konfigurationsanpassung sollte man zunächst sicherstellen, dass man sich selber nicht aussperrt. Hierzu dient der Button “Temporarily Whitelist my IP” auf der Hauptseite des Plugins. Danach kann man im Security Status alle Punkte nacheinander abarbeiten.

Wer seine Internetpräsenz umstellt von einem anderen System hin zu WordPress, oder eine massive Änderung an Dateinamen/Pfaden macht, wird feststellen, dass eine ganze Reihe an Hosts ausgesperrt werden. Die User erhalten eine nichtssagende Fehlermeldung “error” und der Webseitenadministrator eine E-Mail mit “Site Lockout Notification” im Betreff. Üblicherweise sollte dies nach einigen Wochen/Monaten vorbei sein, weil dann die nicht mehr existenten Webseiten aus den Katalogen der Suchmaschinen verschwunden sind. Um in der Zwischenzeit seine User nicht zu verprellen, die durch diese Maßnahme 15 Minuten ausgesperrt werden, ist eine temporäre Deaktivierung dieser Funktion hilfreich und eine Analyse der Seiten, die mit einem 404 Fehler zurückgegeben wurden hilfreich. Bei der Umstellung meiner Seiten habe ich die .htaccess Datei entsprechend mit RewriteRules angereichert, die die alten Links auf die passenden neuen Seiten umlenken. Für die Seiten mit einem Fehlercode 404 bietet das Plugin auch eine entsprechende Logdatei an.

Nützlich sind auch temporäre Sperren des Backends. Wer aus seinem Urlaub heraus keine Inhalte produziert, kann den Away Modus aktivieren und bis zu einem bestimmten Datum den Zugriff auf das WordPress Dashboard sperren. Falls WordPress nur zu Tageszeiten genutzt wird, kann auch eine automatische, tägliche Sperre des Dashboards während der Nachtstunden nützlich sein.

Vorsicht ist bei der Option “Enable iThemes Brute Force Network Protection” geboten. Diese Nützliche Einstellung prüft, ob eine Anfrage an den Webserver von einem bekannten Brute Force Angreifer kommt. Leider werden hier wieder IP Adressen der Nutzer (mit einem fehlgeschlagenen Loginversuch) an einen dritten Server übertragen, so dass man sich vermutlich in einer rechtlichen Grauzone befindet.

Wer die Datenbanksicherung von iThemes Security nutzen möchte, sollte darauf achten, dass die Datensicherungsdatei per E-Mail an den Administrator versandt wird. Wer das nicht möchte, sollte das Ziel der Datensicherung auf “Save Locally Only” umstellen und die Zahl der vorgehaltenen Sicherungen nicht auf 0 (= alle), sondern auf einen niedrigen Wert wie 3 einstellen. Andernfalls könnte die Festplatte des Webservers irgendwann vollaufen oder sich zu viel Datenmüll ansammeln. Besser ist grundsätzlich eine richtige Datensicherung auf Serverseite, doch möglicherweise ist nach einer kleinen Panne der eigenständige Zugriff auf die Datensicherungen hilfreich.

Wer iThemes Security einsetzt, kann auf das zuvor vorgestellte PlugIn zur SSL Verschlüsselung verzichten. Hierzu befindet sich eine entsprechende Option unter den Einstellungen um wahlweise einzelne Bereiche oder die gesamte Webseite per SSL auszuliefern.

Ein Blick auf die “Logs” (Systemmeldungen) von iThemes Security überrascht dann doch immer wieder. Neben den sicherheitsrelevanten Meldungen sind auch die bereits benannten 404 Fehler nützlich um eine “saubere” Seite zu haben.

Die kostenfreie Version hebt den Sicherheitsstandard der WordPress Installation schon gewaltig an. Wer seine Webseite kommerziell einsetzt, sollte ein Upgrade auf die Pro Version prüfen.

  • Sprache: Englisch
  • Preis: kostenfrei, Professional Version ab 80 $

Warnmeldung hinsichtlich Cookies (Cookie Law Info)

Ein wie so oft gut gemeintes, aber unglücklich implementiertes EU Gesetz sieht vor, dass Webseitenbetreiben ihre Besucher informieren müssen, dass die Webseite Cookies setzt und nutzt. Seither tauchen auf immer mehr Webseiten in der Kopfleiste die Hinweise auf, die letztlich aussagen, dass die Webseite Cookies nutzt und durch das Weiternutzen der Seite die Akzeptanz durch den Benutzer angenommen wird. Die Verordnung lässt sich nicht näher aus, so dass diese fragwürdige Formulierung und Annahme ausreichen sollte.

Das Plugin Cookie Law Info von Richard Ashby übernimmt die Aufgabe der Anzeige einer solchen Infozeile, geht aber noch einen Schritt weiter. In einer Tabelle können die von der Webseite genutzten Cookies gelistet und näher erläutert werden. Hierdurch hat der Benutzer die Möglichkeit mehr über Cookies und ihren Einsatzzweck zu erhalten. Die Handhabung des Plugins ist eher einfach, die Ermittlung der einzelnen Cookies jedoch durchaus aufwändig.

  • Sprache: Englisch
  • Preis: kostenfrei

Schreibe einen Kommentar

Nutze dieses Kommentarfeld um deine Meinung oder Ergänzung zu diesem Beitrag kundzutun. Verhalte dich bitte respektvoll und höflich! Kommentare werden vor der Veröffentlichung in der Regel moderiert und bei Verstößen gegen geltendes Recht, die guten Sitten, fehlendem Bezug oder missbräuchlicher Verwendung nicht freigegeben oder gelöscht.
Über die Angabe deines Namens, deiner E-Mail Adresse und deiner Webseite freuen wir uns, doch diese Felder sind optional. Deine E-Mail Adresse wird dabei zu keinem Zeitpunkt veröffentlicht.

Um mit dem Betreiber dieser Seite nicht-öffentlich in Kontakt zu treten, nutze die Möglichkeiten im Impressum.